IPv4 アクセスリスト

コマンド一覧

コマンド

コマンドの機能

ip access-list ip

IPv4 アクセスリストの登録 (IP)

ip access-list tcp

IPv4 アクセスリストの登録 (TCP)

ip access-list udp

IPv4 アクセスリストの登録 (UDP)

ip access-list icmp

IPv4 アクセスリストの登録 (ICMP)

ip access-list cache

IPv4 アクセスリスト・キャッシュサイズの設定

ip access-list cache timeout

IPv4 アクセスリスト・キャッシュタイムアウトの設定

ip access-list dynamic

IPv4 ダイナミックアクセスリストの登録

ip access-list dynamic cache

IPv4 ダイナミックアクセスリスト・キャッシュサイズの設定

ip access-list dynamic timer

IPv4 ダイナミックアクセスリストタイマーの設定

ip access-list option nocache

IPv4 アクセスリストのキャッシュ無効設定

ip access-list option optimize

IPv4 アクセスリストの最適化設定

ip access-list sequence-mode

IPv4 アクセスリスト・入力モードの設定

show ip access-list

IPv4 アクセスリストの表示

show ip access-list cache

IPv4 アクセスリスト・キャッシュの表示

show ip access-list dynamic

IPv4 ダイナミックアクセスリストの表示

clear ip access-list cache

IPv4 アクセスリスト・キャッシュのクリア

clear ip access-list dynamic hit-count

IPv4 ダイナミックアクセスリストカウンタのクリア

clear ip access-list hit-count

IPv4 アクセスリストカウンタのクリア

IPv4 アクセスリストの登録 (IP)

[入力形式]

ip access-list ACCESSLIST-NAME [ SEQUENCE ] { permit | deny } { PROTOCOL | ip }
src SRC dest DEST [ tos TOS ] [ precedence PRECEDENCE ] [ dscp DSCP ] [ fragments ]
no ip access-list ACCESSLIST-NAME [ ... ]

[パラメータ]

ACCESSLIST-NAME...IPv4 アクセスリスト名

  • 15文字以内の文字列

SEQUENCE...シーケンス番号

  • 範囲: 1~4294967295

permit...許可

deny...拒否

PROTOCOL...プロトコル番号

  • 範囲: 1〜255

ip...全IPv4プロトコル

SRC/DEST...送信元/送信先IPv4アドレス

  • IPv4アドレス/ネットマスク 0〜32

  • IPv4アドレス + WILDCARD-BIT(IPv4形式)

  • any...すべて

TOS...type of service

  • 範囲: 0〜15

PRECEDENCE...precedence

  • 範囲: 0〜7

DSCP...dscp

  • 範囲: 0〜63

fragments...フラグメントパケットを指定

[説明]
パケットをさまざまな条件で判定し、許可または拒否を決定する機能です。
複数の条件を登録でき、登録した順に評価します。
[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ip access-list 20 permit ip src 192.168.0.0/24 dest any
ip access-list 20 permit ip src 192.168.0.0 0.0.0.255 dest any tos normal
[ノート]
TCP/UDP/ICMP を指定したアクセスリストは、別途専用の項目を参照してください。
アクセスリストの削除は、名前のみ指定した場合は同一名のアクセスリストをすべて削除し、
パラメータを指定した場合は一致するエントリのみを削除します。
[IX2000/IX3000シリーズ差分]
  • src-domain、dest-domainオプション未対応

  • linkmgrオプション未対応

IPv4 アクセスリストの登録 (TCP)

[入力形式]

ip access-list ACCESSLIST-NAME [ SEQUENCE ] { permit | deny } tcp [ FLAGS ]
src SRC [ sport OPERATOR PORT ] dest DEST [ dport OPERATOR PORT ]
[ tos TOS ] [ precedence PRECEDENCE ] [ dscp DSCP ] [ fragments ]
no ip access-list ACCESSLIST-NAME [ ... ]

[パラメータ]

ACCESSLIST-NAME...IPv4 アクセスリスト名

  • 15文字以内の文字列

SEQUENCE...シーケンス番号

  • 範囲: 1~4294967295

permit...許可

deny...拒否

FLAGS...TCPヘッダの制御フラグ

  • ack|fin|psh|rst|syn|urg:該当フラグがON

  • established :(ACKまたはRSTビットがON)

SRC/DEST...送信元/送信先IPv4アドレス

  • IPv4アドレス/ネットマスク 0〜32

  • IPv4アドレス + WILDCARD-BIT(IPv4形式)

  • any...すべて

OPERATOR...ポート番号演算子

  • lt :より小さい (less than)

  • gt :より大きい (greater than)

  • eq :同一 (equal)

  • neq :同一でない (not equal)

  • range:範囲指定

  • any :すべて

PORT...ポート番号

  • any,range以外: 1〜65535

  • range: [最小ポート番号] [最大ポート番号]

TOS...type of service

  • 範囲: 0〜15

PRECEDENCE...precedence

  • 範囲: 0〜7

DSCP...dscp

  • 範囲: 0〜63

fragments...フラグメントパケットを指定

[説明]
TCPのパケットをさまざまな条件で判定し、許可または拒否を決定する機能です。
複数の条件を登録でき、登録した順に評価します。
[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ip access-list list1 deny tcp src any sport range 67 100 dest any dport any
ip access-list list1 permit tcp established src any sport any dest any dport any
[ノート]
アクセスリストの削除は、名前のみ指定した場合は同一名のアクセスリストをすべて削除し、
パラメータを指定した場合は一致するエントリのみを削除します。
[IX2000/IX3000シリーズ差分]
  • src-domain、dest-domainオプション未対応

  • linkmgrオプション未対応

IPv4 アクセスリストの登録 (UDP)

[入力形式]

ip access-list ACCESSLIST-NAME [ SEQUENCE ] { permit | deny } udp
src SRC [ sport OPERATOR PORT ] dest DEST [ dport OPERATOR PORT ]
[ tos TOS ] [ precedence PRECEDENCE ] [ dscp DSCP ] [ fragments ]
no ip access-list ACCESSLIST-NAME [ ... ]

[パラメータ]

ACCESSLIST-NAME...IPv4 アクセスリスト名

  • 15文字以内の文字列

SEQUENCE...シーケンス番号

  • 範囲: 1~4294967295

permit...許可

deny...拒否

SRC/DEST...送信元/送信先IPv4アドレス

  • IPv4アドレス/ネットマスク 0〜32

  • IPv4アドレス + WILDCARD-BIT(IPv4形式)

  • any...すべて

OPERATOR...ポート番号演算子

  • lt :より小さい (less than)

  • gt :より大きい (greater than)

  • eq :同一 (equal)

  • neq :同一でない (not equal)

  • range:範囲指定

  • any :すべて

PORT...ポート番号

  • any,range以外: 1〜65535

  • range: [最小ポート番号] [最大ポート番号]

TOS...type of service

  • 範囲: 0〜15

PRECEDENCE...precedence

  • 範囲: 0〜7

DSCP...dscp

  • 範囲: 0〜63

fragments...フラグメントパケットを指定

[説明]
UDPのパケットをさまざまな条件で判定し、許可または拒否を決定する機能です。
複数の条件を登録でき、登録した順に評価します。
[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ip access-list list1 deny udp src any sport range 67 100 dest any dport any
[ノート]
アクセスリストの削除は、名前のみ指定した場合は同一名のアクセスリストをすべて削除し、
パラメータを指定した場合は一致するエントリのみを削除します。
[IX2000/IX3000シリーズ差分]
  • src-domain、dest-domainオプション未対応

  • linkmgrオプション未対応

IPv4 アクセスリストの登録 (ICMP)

[入力形式]

ip access-list ACCESSLIST-NAME [ SEQUENCE ] { permit | deny } icmp
[ type TYPE [ code CODE ] | ICMP-MESSAGE ]
src SRC dest DEST
[ tos TOS ] [ precedence PRECEDENCE ] [ dscp DSCP ] [ fragments ]
no ip access-list ACCESSLIST-NAME [ ... ]

[パラメータ]

ACCESSLIST-NAME...IPv4 アクセスリスト名

  • 15文字以内の文字列

SEQUENCE...シーケンス番号

  • 範囲: 1~4294967295

permit...許可

deny...拒否

CODE...ICMP code

  • 範囲: 0〜255

ICMP-MESSAGE...ICMPメッセージ

  • administratively-prohibited

  • dod-host-prohibited

  • dod-net-prohibited

  • echo

  • echo-reply

  • general-parameter-problem

  • host-isolated

  • host-precedence-unreachable

  • host-redirect

  • host-tos-redirect

  • host-tos-unreachable

  • host-unknown

  • host-unreachable

  • information-reply

  • information-request

  • mask-reply

  • mask-request

  • net-redirect

  • net-tos-redirect

  • net-tos-unreachable

  • net-unreachable

  • network-unknown

  • option-missing

  • packet-too-big

  • parameter-problem

  • port-unreachable

  • precedence-unreachable

  • protocol-unreachable

  • reassembly-timeout

  • redirect

  • router-advertisement

  • router-solicitation

  • source-quench

  • source-route-failed

  • time-exceeded

  • timestamp-reply

  • timestamp-request

  • ttl-exceeded

  • unreachable

SRC/DEST...送信元/送信先IPv4アドレス

  • IPv4アドレス/ネットマスク 0〜32

  • IPv4アドレス + WILDCARD-BIT(IPv4形式)

  • any...すべて

TOS...type of service

  • 範囲: 0〜15

PRECEDENCE...precedence

  • 範囲: 0〜7

DSCP...dscp

  • 範囲: 0〜63

fragments...フラグメントパケットを指定

[説明]
ICMPのパケットをさまざまな条件で判定し、許可または拒否を決定する機能です。
複数の条件を登録でき、登録した順に評価します。
[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ip access-list list1 deny icmp src any dest any
ip access-list list1 deny icmp port-unreachable src any dest any
[ノート]
アクセスリストの削除は、名前のみ指定した場合は同一名のアクセスリストをすべて削除し、
パラメータを指定した場合は一致するエントリのみを削除します。
[IX2000/IX3000シリーズ差分]
  • src-domain、dest-domainオプション未対応

  • linkmgrオプション未対応

IPv4 アクセスリスト・キャッシュサイズの設定

[入力形式]
ip access-list cache [ CACHE-SIZE ]
no ip access-list cache
[パラメータ]

CACHE-SIZE...キャッシュサイズ

  • 範囲: 1~100000

[説明]
アクセスリストのキャッシュサイズを設定します。
[デフォルト値]

20000

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]
ip access-list cache 2048
no ip access-list cache
[ノート]

なし

IPv4 アクセスリスト・キャッシュタイムアウトの設定

[入力形式]
ip access-list cache timeout TIMEOUT
no ip access-list cache timeout
[パラメータ]

TIMEOUT...タイムアウト(秒)

  • 範囲: 1~600

[説明]
アクセスリストのキャッシュタイムアウトを設定します。
[デフォルト値]

30

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]
ip access-list cache timeout 10
no ip access-list cache timeout
[ノート]

なし

IPv4 ダイナミックアクセスリストの登録

[入力形式]
ip access-list dynamic ACCESSLIST-NAME PROTOCOL [ PORT ] src SRC dest DEST
ip access-list dynamic ACCESSLIST-NAME access ACL [ in ACL [ out ACL ] ]
no ip access-list dynamic ACCESSLIST-NAME [ ... ]
[パラメータ]

ACCESSLIST-NAME...IPv4 ダイナミックアクセスリスト名

  • 15文字以内の文字列

PROTOCOL...プロトコル

  • ftp :FTP

  • tftp :TFTP

  • http :HTTP

  • dns :DNS

  • telnet :Telnet

  • sip :SIP

PORT...ポート番号 (ftp, tftp, sip選択時)

  • 範囲: 1~65535

SRC/DEST...送信元/送信先IPv4アドレス

  • IPv4アドレス/ネットマスク 0〜32

  • IPv4アドレス + WILDCARD-BIT(IPv4形式)

  • any...すべて

ACL...IPv4 アクセスリスト名

  • 15文字以内の文字列

[説明]
ダイナミックフィルタで使用するダイナミックアクセスリストを登録します。
プロトコルまたはアクセスリストで指定した通信を、内側から開始した場合のみ許可するフィルタとして動作します。
アクセスリストを指定する形式では、通信検出時に他の通信を許可することも可能です。
in (accessと逆の方向)、out (accessの方向) を指定した場合、指定した方向の通信を許可します。
[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]
ip access-list dynamic dynamic1 ftp src 192.168.0.0/24 dest any
ip access-list dynamic dynamic1 ftp 10021 src any dest 10.0.0.254/32
ip access-list dynamic dynamic2 access static2
ip access-list dynamic dynamic3 access static3-1 in static3-2 out static3-3
no ip access-list dynamic dynamic1
no ip access-list dynamic dynamic2 access static2
[ノート]

外部からの通信を破棄するようにフィルタを設定しておく必要があります。

IPv4 ダイナミックアクセスリスト・キャッシュサイズの設定

[入力形式]
ip access-list dynamic cache [ CACHE-SIZE ]
no ip access-list dynamic cache
[パラメータ]

CACHE-SIZE...キャッシュサイズ

  • 範囲: 1~250000

[説明]
ダイナミックアクセスリストのキャッシュサイズを設定します。
[デフォルト値]

32768

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]
ip access-list dynamic cache 2048
no ip access-list dynamic cache
[ノート]

なし

IPv4 ダイナミックアクセスリストタイマーの設定

[入力形式]
ip access-list dynamic timer TIMER-TYPE TIME
no ip access-list dynamic timer [ TIMER-TYPE ]
[パラメータ]

TIMER-TYPE...タイマーの種類

  • tcp-syn-timeout...

    SYNを受けてから設定された時間内にデータが流れなければセッションを切断します。

  • tcp-fin-timeout...

    FINを受けてから設定された時間内にデータが流れなければセッションを切断します。

  • tcp-idle-time...

    設定された時間内にTCPセッションのデータが流れなければセッションを切断します。

  • udp-idle-time...

    設定された時間内にUDPセッションのデータが流れなければセッションを切断します。

  • icmp-timeout...

    設定された時間内にICMPセッションのデータが流れなければセッションを切断します。

  • global-timeout...上記に該当しないセッションは、この設定に従います。

    設定された時間内にデータが流れなければセッションを切断します。

TIME...待ち時間(秒)

  • 範囲: 0〜259200

[説明]
ダイナミックアクセスリストが適用されたセッションの、切断までの待ち時間を設定します。
[デフォルト値]
  • tcp-syn-timeout : 30

  • tcp-fin-timeout : 5

  • tcp-idle-time : 300

  • udp-idle-time : 30

  • dns-timeout : 30

  • icmp-timeout : 30

  • global-timeout : 60

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]
ip access-list dynamic timer tcp-syn-timeout 10
no ip access-list dynamic timer tcp-syn-timeout
no ip access-list dynamic timer
[ノート]

なし

IPv4 アクセスリストのキャッシュ無効設定

[入力形式]
ip access-list ACCESSLIST-NAME option nocache
no ip access-list ACCESSLIST-NAME option nocache
[パラメータ]

ACCESSLIST-NAME...IPv4 アクセスリスト名

  • 15文字以内の文字列

[説明]

指定されたアクセスリストのキャッシュ作成を無効にします。

[デフォルト値]

キャッシュ有効

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]
ip access-list list1 option nocache
no ip access-list list1 option nocache
[ノート]

なし

IPv4 アクセスリストの最適化設定

[入力形式]
ip access-list ACCESSLIST-NAME option optimize
no ip access-list ACCESSLIST-NAME option optimize
[パラメータ]

ACCESSLIST-NAME...IPv4 アクセスリスト名

  • 15文字以内の文字列

[説明]
多数の条件を登録したアクセスリストの検索処理を最適化します。
noコマンドにより最適化リストが破棄され登録順に評価されます。
[デフォルト値]

最適化なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]
ip access-list list1 option optimize
no ip access-list list1 option optimize
[ノート]

なし

IPv4 アクセスリスト・入力モードの設定

[入力形式]
ip access-list ACCESSLIST-NAME sequence-mode [ INTERVAL ]
no ip access-list ACCESSLIST-NAME sequence-mode
[パラメータ]

ACCESSLIST-NAME...IPv4 アクセスリスト名

  • 15文字以内の文字列

INTERVAL...シーケンス番号の自動付与間隔

  • 範囲: 1~1000

  • デフォルト値: 100

[説明]
シーケンス番号指定モード (Sequenceモード) に変更し、既存のアクセスリスト設定にシーケンス番号を付与します。
noコマンドにより通常モード (Normalモード) に変更し、既存のアクセスリスト設定からシーケンス番号を削除します。
[デフォルト値]

通常モード

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]
ip access-list rule1 sequence-mode 50
no ip access-list rule1 sequence-mode
[ノート]

なし

IPv4 アクセスリストの表示

[入力形式]

show ip access-list [ ACCESSLIST-NAME ]

[パラメータ]

ACCESSLIST-NAME...IPv4 アクセスリスト名

  • 15文字以内の文字列

[説明]
アクセスリスト情報を表示します。
ACCESSLIST-NAME 省略時は全アクセスリストの一覧を表示します。
ACCESSLIST-NAME 指定時は詳細情報を表示します。
[デフォルト値]

なし

[実行モード]
EXECモード
グローバルコンフィグモード
インタフェースコンフィグモード
[ユーザー権限]

Administrator/Operator/Monitor

[入力例]
show ip access-list
show ip access-list 300
[ノート]

なし

IPv4 アクセスリスト・キャッシュの表示

[入力形式]

show ip access-list cache

[パラメータ]

なし

[説明]

アクセスリストのキャッシュ内容を表示します。

[デフォルト値]

なし

[実行モード]
EXECモード
グローバルコンフィグモード
インタフェースコンフィグモード
[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

show ip access-list cache

[ノート]

なし

IPv4 ダイナミックアクセスリストの表示

[入力形式]

show ip access-list dynamic [ ACCESSLIST-NAME ]

[パラメータ]

ACCESSLIST-NAME...IPv4 ダイナミックアクセスリスト名

  • 15文字以内の文字列

[説明]
ダイナミックアクセスリスト情報を表示します。
ACCESSLIST-NAME 省略時は、全ダイナミックアクセスリストの一覧を表示します。
ACCESSLIST-NAME 指定時は、詳細情報を表示します。
[デフォルト値]

なし

[実行モード]
EXECモード
グローバルコンフィグモード
インタフェースコンフィグモード
[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

show ip access-list dynamic dynamic1

[ノート]

なし

IPv4 アクセスリスト・キャッシュのクリア

[入力形式]

clear ip access-list cache

[パラメータ]

なし

[説明]

アクセスリストのキャッシュをクリアします。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

clear ip access-list cache

[ノート]

なし

IPv4 ダイナミックアクセスリストカウンタのクリア

[入力形式]

clear ip access-list dynamic hit-count [ ACCESSLIST-NAME ]

[パラメータ]

ACCESSLIST-NAME...IPv4 ダイナミックアクセスリスト名

  • 15文字以内の文字列

[説明]
ダイナミックアクセスリストのカウンタをクリアします。
ACCESSLIST-NAME を省略時は、すべてのダイナミックアクセスリストのカウンタをクリアします。
[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

clear ip access-list dynamic hit-count 3000

[ノート]

なし

IPv4 アクセスリストカウンタのクリア

[入力形式]

clear ip access-list hit-count [ ACCESSLIST-NAME ]

[パラメータ]

ACCESSLIST-NAME...IPv4 アクセスリスト名

  • 15文字以内の文字列

[説明]
アクセスリストのカウンタをクリアします。
ACCESSLIST-NAME を省略時は、すべてのアクセスリストのカウンタをクリアします。
[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

clear ip access-list hit-count 3000

[ノート]

なし

コマンド変更情報

Ver1.0 コマンド変更情報